關(guān)于Google兩步登陸，有不少人質(zhì)疑其安全性，主要是因?yàn)閷?duì)電信運(yùn)營(yíng)商的不信任。兩步登陸用了兩天多了，今天早上也專(zhuān)門(mén)試了試它的一些情況，在這里剛好總結(jié)一下。

設(shè)置為兩步登陸后，完成第二步登陸的數(shù)字碼有三種途徑可以獲得，一是通過(guò)手機(jī)上的程序生成，二是通過(guò)設(shè)定的手機(jī)接收短信，三是設(shè)置時(shí)生成的備用數(shù)字 驗(yàn)證碼。此外，利用程序特有密碼（Application-specific Password）也是一個(gè)訪問(wèn)Google賬戶中數(shù)據(jù)的方法，下面分別從這四方面來(lái)分別分析它的安全性。

需要說(shuō)明的是，對(duì)于設(shè)置了兩步登陸的賬號(hào)，單獨(dú)得到其賬戶密碼和數(shù)字驗(yàn)證碼都是沒(méi)有用的，而且，通過(guò)程序生成和短信接收得到的六位數(shù)字驗(yàn)證碼還有一個(gè)時(shí)效限制。

一、手機(jī)程序生成數(shù)字碼的安全性

六位數(shù)字碼每30秒就改變一次，具體哪一秒改變，不同的設(shè)備不一樣，時(shí)間是數(shù)字碼生成中的一個(gè)很重要的變量，無(wú)論是是關(guān)閉程序還是如何，只要是30 秒內(nèi)，生成的數(shù)字碼是不變的。但這并不意味著數(shù)字碼被猜中的機(jī)率為百萬(wàn)分之一，因?yàn)檫@個(gè)數(shù)字碼是有“有效期”的，時(shí)間從兩步登陸中***步登陸數(shù)據(jù)的提交開(kāi) 始計(jì)算，從那開(kāi)始，五分鐘內(nèi)生成的共計(jì)10個(gè)數(shù)字驗(yàn)證碼中任意一個(gè)都可以輔助完成登陸，也就是說(shuō)，數(shù)字碼驗(yàn)證被突破的機(jī)率應(yīng)該是十萬(wàn)分之一。這一點(diǎn)也是用 戶無(wú)法控制的，保密工作的重點(diǎn)不在這一步。

Android平臺(tái)上用于生成六位數(shù)字碼的程序Google Authenticator，只有一個(gè)權(quán)限要求，即控制振動(dòng)器——成功的在添加一個(gè)賬號(hào)后，將振動(dòng)以示提醒。在斷開(kāi)手機(jī)所有的網(wǎng)絡(luò)后，仍然可以完成程序的 安裝，并可正常的添加賬號(hào)用以進(jìn)行兩步登陸，亦可正常的生成數(shù)字碼進(jìn)行登陸，這意味著，在整個(gè)過(guò)程中，Google Authentication沒(méi)有往Google的服務(wù)器傳送任何數(shù)據(jù)，也即與手機(jī)本身的各項(xiàng)信息無(wú)關(guān)，只是用某種算法進(jìn)行了一個(gè)計(jì)算。

為了驗(yàn)證生成的數(shù)字碼的確與設(shè)備無(wú)關(guān)，在設(shè)置兩步登陸時(shí)，同時(shí)使用兩臺(tái)手機(jī)掃描了那個(gè)QR碼圖，結(jié)果兩臺(tái)手機(jī)都可以輔助完成兩步登陸。而且，兩臺(tái)手機(jī)生成的數(shù)字碼也是一致的。這丙一次證明了數(shù)碼驗(yàn)證碼的生成與設(shè)備無(wú)關(guān)。

其實(shí)，在設(shè)置兩步登陸中生成的用于掃描的QR碼所加密的內(nèi)容是一下如下的字符串：

otpauth://totp/xxxxx@gmail.com?secret=5dytxxxxxxxdc3tb

其關(guān)鍵內(nèi)容有兩個(gè)，一個(gè)是用戶名，另外一個(gè)就是secret后的密鑰，每一個(gè)賬號(hào)的密鑰是不變的。除了用QR碼掃描的方式在Google Authenticatior添加賬號(hào)外，也可以手動(dòng)添加，手動(dòng)添加時(shí)需要輸入的，也是這兩個(gè)信息。

現(xiàn)在的問(wèn)題是，生成的數(shù)字碼與用戶名是否有關(guān)系，為了驗(yàn)證，在Google Authentication中手動(dòng)添加一個(gè)賬號(hào)，用戶名隨便，密鑰使用上面的密鑰。結(jié)果表明，只要密鑰一樣，無(wú)論用戶名是什么，都生成一樣的數(shù)字碼。這 意味著，六位數(shù)字碼的生成只與那個(gè)secret密鑰和時(shí)間相關(guān)，保護(hù)secret密鑰就成為了保密的重心，好在Google Authentication中無(wú)法查看secret密鑰。要想查看secret密鑰，只有在登陸進(jìn)Google賬戶后。

保護(hù)措施

這一步的保密有兩個(gè)，一是保證secret密鑰不外泄，二是保證用于生成數(shù)字碼的設(shè)備不要被他人獲取。主要為以下幾點(diǎn)

不在任何地方粘貼含有secret的QR碼圖

在不使用Google服務(wù)后，一定要注意點(diǎn)擊右上角的登出（Sign Out）

在Google Authentication中添加數(shù)個(gè)賬號(hào)，用戶名隨意（可以為任意字符，不限于郵箱格式），密鑰為任意16位字符數(shù)字組合，以使即使獲得這個(gè)設(shè)備，也要花精力去分辨到底哪個(gè)六位數(shù)字碼為真

遇到突發(fā)情況時(shí)，盡量立即卸載設(shè)備上的Google Authentication程序

在Google Authenticator應(yīng)用中添加多個(gè)干擾的無(wú)用賬號(hào)，名稱(chēng)隨意#p#

二、手機(jī)短信接收驗(yàn)證碼的安全性

這個(gè)是最為話柄的一個(gè)方法，因?yàn)樾枰褂枚绦沤邮樟粩?shù)字碼，而朝內(nèi)電信運(yùn)營(yíng)商個(gè)個(gè)都有不良記錄，并且這一步無(wú)法跳過(guò)，設(shè)置完成后，一旦刪除備用手機(jī)號(hào)碼，兩步登陸也會(huì)自動(dòng)失效，這一步的確有些不人性化。

不過(guò)，陌生人在登錄到你的賬號(hào)之前，只知道備用手機(jī)號(hào)的***兩位，雖然兩步登陸設(shè)置過(guò)程中，Google推薦你用值得信任的人的號(hào)碼作為備用短信接收號(hào)碼，但如果你真用了你熟悉的人的號(hào)碼，可能又是一個(gè)安全隱患。

保護(hù)措施

***的辦法是，在網(wǎng)上找一個(gè)朋友，確保只有自己知道這個(gè)人與自己的關(guān)系，然后借用其手機(jī)號(hào)為備用號(hào)碼。這樣，就算最了解你的人，依然無(wú)法弄清楚備用短信接收號(hào)碼是多少，如果你可以找到一個(gè)手機(jī)尾號(hào)與你某個(gè)熟人的號(hào)碼一致的網(wǎng)友，那就更具迷惑性了。而且，兩步登陸的第二步有超時(shí)時(shí)間，大約是五到十分鐘，我相信，在這個(gè)時(shí)間段時(shí)做一次全國(guó)范圍的短信搜索，還是非常有難度的。

兩步登陸會(huì)提示備用手機(jī)號(hào)碼的末兩位

三、備用數(shù)字驗(yàn)證碼

這個(gè)方法是在以上兩個(gè)方法都無(wú)法登陸的時(shí)候用的，Google提供了10個(gè)八位數(shù)字驗(yàn)證碼，每個(gè)號(hào)碼可以使用一次，Google推薦你打印出來(lái)，不過(guò)這可不是個(gè)什么好辦法。如何保護(hù)好它成了最麻煩的一點(diǎn)。

保護(hù)措施

為了確保這10個(gè)八位數(shù)字驗(yàn)證碼的安全性，建議按如下幾步進(jìn)行操作

1、將數(shù)字碼錄入到一個(gè)文本文件，并將進(jìn)行基礎(chǔ)性編碼，例如，將所有出現(xiàn)3的地方換成5，將所有出現(xiàn)5的地方換成3

2、使用截圖軟件將***步的結(jié)果進(jìn)行截圖，得到一個(gè)圖片

3、使用winrar等工具，將這個(gè)圖片壓縮，并設(shè)置密碼，一定要設(shè)置一個(gè)與Google賬戶不同的密碼，得到的壓縮包文件名一定要隨意，如“新建 文本文檔.rar”

5、將這個(gè)圖片傳到可以***保存的網(wǎng)盤(pán)上，并將其共享（注意不要選擇如115等有共享期限限制的網(wǎng)盤(pán)），記下共享地址

6、找一個(gè)可以自定義的縮短網(wǎng)址工具，將第五步的共享地址進(jìn)行縮短，這個(gè)網(wǎng)址一定要記牢。http://snipurl.com就是個(gè)可以進(jìn)行自定義的網(wǎng)址縮短工具，如縮短的最終結(jié)果為http://snipurl.com/wodemimazaizheli

備用八位數(shù)字驗(yàn)證碼提供了十次機(jī)會(huì)

這樣，其它方法都無(wú)法登陸，或者登陸途徑被破壞后，就可以打開(kāi)http://snipurl.com/wodemimazaizheli，然后下載備用驗(yàn)證八位數(shù)字碼圖——可別忘了你還對(duì)它進(jìn)行了基礎(chǔ)性的編碼。

四、真正的危險(xiǎn)：程序特有密碼（Application-specific password）

因?yàn)橛行┏绦蚴遣恢С謨刹降顷懙模热缱烂姘鍳talk、Empathy、Picasa，甚至Chrome瀏覽器的同步功能，為了使這些程序能夠正 常的通過(guò)Google賬戶驗(yàn)證，需要為其生成一個(gè)程序特有密碼，而這個(gè)密碼，卻可以用在任何地方，雖然不能用它來(lái)登陸Google賬戶和Gmail，但卻 可以來(lái)完成郵件客戶端的驗(yàn)證，再使用郵件客戶端來(lái)收發(fā)郵件。

一旦生成了程序特有密碼，在Google賬戶中便不能再查看密碼，只能夠刪除。雖然諸如Gtalk和Emparty等軟件會(huì)用星號(hào)來(lái)顯示密碼，但想 看到星號(hào)隱藏的密碼并不困難。這也使得程序特有密碼成了兩步登陸的薄弱環(huán)節(jié)，因此建議，***使用兩個(gè)Google賬戶，一個(gè)用于郵件等重要事務(wù)，另外一個(gè) 賬號(hào)專(zhuān)門(mén)用于不能進(jìn)行兩步登陸的場(chǎng)合。

【編輯推薦】

1. 什么是赤裸的密碼 讓美女來(lái)告訴你
2. atsec SSL密碼模塊獲得FIPS 140-2證書(shū)
3. 如何保證Web應(yīng)用程序安全性
4. 為移動(dòng)應(yīng)用程序進(jìn)行代碼簽名 無(wú)需因追求市場(chǎng)機(jī)會(huì)而犧牲安全性